ГОСТ Р 51188-98

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙФЕДЕРАЦИИ

Датавведения 1999-07-01

1. ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Настоящийстандарт распространяется на испытания программных средств (ПС) и ихкомпонентов, цели которых - обнаружить в этих ПС и устранить из нихкомпьютерные вирусы (KB) силами специальных предприятий(подразделений), и устанавливает общие требования к организации ипроведению таких испытаний.

1.2. Требования,установленные настоящим стандартом, направлены на обеспечениеспециальной обработки ПС в целях выявления KB, а также на устранениепоследствий, вызванных возможными воздействиями KB на операционныесистемы, системные и пользовательские файлы с программами и данными,начальные секторы магнитных дисков, таблицы размещения файлов и др.

1.3. Настоящийстандарт устанавливает типовые требования, предъявляемые к испытаниямПС на наличие KB, в том числе:

• - к составу мероприятий по подготовке и проведению испытаний;

• - к составу, структуре и назначению основных частейпрограммно-аппаратного стенда, обеспечивающего проведение испытаний;

• - к выбору и использованию методов проведения испытаний;

• - к тестовым (антивирусным) программам, обнаруживающим иуничтожающим KB;

• - к составу и содержанию документации, фиксирующей порядокпроведения испытаний и их результаты.

1.4. Настоящийстандарт предназначен для применения в испытательных лабораториях,проводящих сертификационные испытания ПС на выполнение требованийзащиты информации.

2. НОРМАТИВНЫЕ ССЫЛКИ

В настоящемстандарте использована ссылка на следующий стандарт:

• ГОСТ19.301-79 (СТ СЭВ 3747-82) ЕСПД. Программа и методикаиспытаний. Требования к содержанию и оформлению

3. ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

В настоящемстандарте применены следующие термины с соответствующимиопределениями:

• Защита программных средств - организационные, правовые,технические и технологические меры, направленные на предотвращениевозможных несанкционированных действий по отношению к программнымсредствам и устранение последствий этих действий.

• Сертификация - действия третьей стороны, цель которых -подтвердить (с помощью сертификата соответствия) то, что изделие (втом числе программное средство) или услуга соответствуетопределенным стандартам или другим нормативным документам.

• Профилактика - систематические действия эксплуатационногоперсонала, цель которых - выявить и устранить неблагоприятныеизменения в свойствах и характеристиках используемых программныхсредств, в частности проверить эксплуатируемые, хранимые и (или)вновь полученные программные средства на наличие компьютерныхвирусов.

• Ревизия - проверка вновь полученных программ специальнымисредствами, проводимая путем их запуска в контролируемой среде.

• Несанкционированный доступ к программным средствам - доступ кпрограммам, записанным в памяти ЭВМ или на машинном носителе, атакже отраженным в документации на эти программы, осуществленный снарушением установленных правил.

• Вакцинирование - обработка файлов, дисков, каталогов,проводимая с применением специальных программ, создающих условия,подобные тем, которые создаются определенным компьютерным вирусом, изатрудняющих повторное его появление.

• Компьютерный вирус - программа, способная создавать своикопии (необязательно совпадающие с оригиналом) и внедрять их вфайлы, системные области компьютера, компьютерных сетей, а такжеосуществлять иные деструктивные действия. При этом копии сохраняютспособность дальнейшего распространения. Компьютерный вирусотносится к вредоносным программам.

В настоящемстандарте приняты следующие сокращения:

• - ПС - программные средства.

• - KB - компьютерные вирусы.

• - ПЭВМ - персональная электронно-вычислительная машина (персональныйкомпьютер).

• - ЭВМ - электронно-вычислительная машина.

4. ПОРЯДОК ПРОВЕДЕНИЯ ИСПЫТАНИЙПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

4.1. ИспытанияПС на наличие KB следует проводить на специально оборудованномпрограммно-аппаратном испытательном стенде, в составе которого должныбыть необходимые технические и программные средства, в том числеантивирусные программы.

4.2. Предприятие[подразделение (далее - организация)], проводящее проверку ПС наналичие KB, должно поддерживать испытательный стенд в работоспособномсостоянии и не допускать проникновения KB в программы и данные доначала проведения испытаний.

4.3.Организация, проводящая проверку ПС на наличие KB, должна определитьи зафиксировать в программе испытаний цель и объем испытаний, а такжесвои обязательства, касающиеся мер
защиты проверяемых ПС от ихзаражения KB с учетом требований ГОСТ19.301.

4.4. Меры позащите проверяемых ПС от заражения KB могут включать в себя:

• - разработку и выполнение комплекса мероприятий по профилактике,ревизии и вакцинированию используемых ПС;

• - подготовку должностных лиц, отвечающих за проведение испытаний ПС;

• - разработку и выбор способов применения программно-техническихсредств для обнаружения KB в ПС;

• - взаимодействие организаций, заказывающих и проводящих испытанияПС;

• - контроль за проведением испытаний ПС;

• - оценку эффективности применяемых антивирусных средств;

• - совершенствование системы мероприятий по защите ПС от KB на основесовременных достижений информационной технологии;

• - установление административной ответственности должностных лиц завыполнение требований защиты ПС от KB;

• - назначение ответственных должностных лиц и определение ихполномочий, относящихся к организации и проведению мероприятий позащите ПС от КВ.

4.5.Организация, выполняющая проверку ПС на наличие KB, должна обеспечитьвесь процесс проверки необходимыми вычислительными техническими ипрограммными средствами, а также назначить специально обученныхсотрудников для проведения испытаний.

4.6.Организация, выполняющая проверку ПС на наличие KB, должна назначитьпостоянного представителя, который получает определенные полномочия инесет постоянную ответственность за выполнение требований,установленных настоящим стандартом.

4.7. В составтехнических средств испытательного стенда должны входить:

• - совместимые ПЭВМ;

• - необходимые элементы телекоммуникационных сетей;

• - каналы связи.

4.8. Конкретныйнабор технических компонентов испытательного стенда должен бытьтаким, чтобы были обеспечены условия воспроизведения всех необходимыхвнешних воздействий на ПС в процессе проведения испытаний.

Перед началомиспытаний состав технических средств, используемых для проведенияпроверок ПС на наличие KB, должен быть согласован с организацией,заказывающей эти проверки. При этом согласование должно бытьоформлено соответствующим актом.

4.9. Наряду скомпонентами, указанными в 4.7, в состав испытательного стенда могутвходить соответствующие аппаратные антивирусные средства. К нимотносятся:

• - компьютеры специальной конструкции, благодаря которойнесанкционированный доступ к данным и заражение файлов KB могут бытьсущественно затруднены;

• - специальные платы, подключаемые к одному из разъемов ПЭВМ ивыполняющие те или иные функции защиты информации;

• - электронные ключи защиты информации, главным достоинством которыхявляется их многофункциональность.

4.10. Состав ифункциональное назначение программных средств испытательного стендаопределяются системой защиты, применяемой при проведении испытаний ПСна наличие КВ.

4.11.Программные средства, входящие в состав испытательного стенда, должныобеспечивать:

• - регулярное ведение архивов измененных файлов;

• - контрольную проверку соответствия длины и значения контрольныхсумм, указываемых в сертификате и полученных программах;

• - систематическое обнуление первых трех байтов сектора начальнойзагрузки на полученных несистемных дискетах;

• - другие виды контроля целостности программ перед считыванием сдискеты;

• - проверку программ на наличие известных видов KB;

• - обнаружение попыток несанкционированного доступа к испытательным(инструментальным) и (или) испытуемым программам и данным;

• - вакцинирование файлов, дисков, каталогов с использованиемрезидентных программ-вакцин, создающих при функционировании условиядля обнаружения KB данного вида;

• - автоконтроль целостности программ перед их запуском;

• - удаление обнаруженного KB из зараженных программ или данных ивосстановление их первоначального состояния.

4.12. Составпрограммных средств, используемых при проведении испытаний по просьбезаказчика, должен быть документально оформлен в соответствии стребованиями заказчика.

4.13. Срокипроведения испытаний должны быть установлены в программе и методикеиспытаний по договоренности между заказчиком и организацией,проводящей испытания.

4.14.Проверяемые ПС должны быть переданы для испытаний на магнитныхносителях (дискетах) вместе с документацией.

4.15. Составработ по подготовке и проведению испытаний ПС на наличие KB в общемслучае следующий:

• - ознакомление с документацией на ПС;

• - выбор методов проверки ПС на наличие KB;

• - определение конфигурации программных и аппаратных средствиспытательного стенда;

• - подготовка программно-аппаратного испытательного стенда кпроведению испытаний;

• - организация и проведение испытаний;

• - оформление протокола проверки ПС и его передача в орган посертификации в соответствии с 6.2 настоящего стандарта;

• - передача заказчику проверенных ПС на магнитных носителях(дискетах);

• - установление по согласованию с заказчиком правил (порядка)гарантийного сопровождения проверенных ПС.

4.16. ПроверкаПС на наличие KB в общем случае включает в себя:

• - поиск вирусоподобных фрагментов кодов ПС;

• - моделирование ситуаций, предположительно способных вызватьактивизацию KB;

• - анализ особенностей взаимодействия компонентов ПС с окружающейоперационной средой;

• - отражение результатов проверки в соответствующей документации.

5. МЕТОДЫ ПРОВЕДЕНИЯ ИСПЫТАНИЙПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

5.1. Прииспытаниях ПС на наличие KB используют две основные группы методовобнаружения KB и защиты программ от них: программные иаппаратно-программные.

К программнымметодам относятся:

• - сканирование;

• - обнаружение изменений;

• - эвристический анализ;

• - резидентные "сторожа";

• - вакцинирование ПС.

Аппаратно-программныеметоды основаны на реализации любого (любых) из указанных вышепрограммных методов защиты ПС от KB с помощью специальных техническихустройств.

5.2. При выбореметодов испытаний и защиты ПС от KB следует руководствоватьсясведениями о сущности каждого из них, приведенными в 5.4-5.9, а такжедополнительными пояснениями об их возможностях, достоинствах инедостатках, приведенными в приложении А.

5.3. Вконкретных испытаниях могут быть использованы способы и средстваобнаружения KB, реализующие один из методов, указанных в 5.1, или ихкомбинации.

5.4. Методсканирования заключается в том, что специальная антивируснаяпрограмма, называемая сканером, последовательно просматриваетпроверяемые файлы в поиске так называемых "сигнатур"известных КВ. При этом под сигнатурой понимают уникальнуюпоследовательность байтов, принадлежащую конкретному известному KB ине встречающуюся в других программах.

5.5. Методобнаружения изменений заключается в том, что антивирусная программапредварительно запоминает характеристики всех областей диска, которыемогут подвергаться нападению KB, а затем периодически проверяет их.Если изменение этих характеристик будет обнаружено, то такаяпрограмма сообщит пользователю, что, возможно, в компьютер попал КВ.

Антивирусныепрограммы, основанные на обнаружении изменений программной среды,называются ревизорами.

5.6. Методэвристического анализа реализуется с помощью антивирусных программ,которые проверяют остальные программы и загрузочные секторы дисков идискет, пытаясь обнаружить в них код, характерный для КВ. Так,например, эвристический анализатор может обнаружить, что впроверяемой программе присутствует код, устанавливающий резидентныймодуль в памяти.

5.7. В методерезидентных сторожей используются антивирусные программы, которыепостоянно находятся в оперативной памяти компьютера и отслеживают всеподозрительные действия, выполняемые другими программами. Резидентныйсторож сообщит пользователю о том, что какая-либо программа пытаетсяизменить загрузочный сектор жесткого диска или дискеты, а такжевыполнимый файл.

5.8.Вакцинирование устанавливает способ защиты любой конкретной программыот KB, при котором к этой программе присоединяется специальный модульконтроля, следящий за ее целостностью.

При этомпроверяются контрольная сумма программы или какие-либо другие еехарактеристики. Если KB заражает вакцинированный файл, модульконтроля обнаруживает изменение контрольной суммы файла и сообщает обэтом пользователю.

5.9.Аппаратно-программные методы защиты ПС от KB реализуются с помощьюспециализированного устройства - контроллера, вставляемого в один изразъемов расширения компьютера, и специального программногообеспечения, управляющего работой этого контроллера и реализующегоодин или несколько из программных методов, указанных выше.

6. ТРЕБОВАНИЯ К ДОКУМЕНТАЦИИ НАИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ

6.1.Документация, оформляемая при подготовке и проведении испытаний ПС наналичие KB, должна содержать сведения, отражающие цель, объем,порядок проведения и результаты таких испытаний.

6.2. Выпускдокумента вида "Протокол проверки программных средств наотсутствие компьютерных вирусов" является обязательным. Формудокумента "Протокол проверки программных средств на отсутствиекомпьютерных вирусов" определяют в установленном порядке ипередают в орган по сертификации.

6.3. Другие видыдокументов, выпускаемых по результатам испытаний ПС на наличие KB, идополнительные требования к их содержанию определяют по согласованиюмежду организацией, выполняющей проверку ПС, и организацией,заказывающей эту проверку.

6.4.Документация, относящаяся к испытаниям ПС на наличие KB, может бытьпредставлена на магнитных носителях данных.

ПРИЛОЖЕНИЕА
(справочное)

ПОЯСНЕНИЯ
о возможностяхразличных методов обнаружения и устранения компьютерных вирусов

А.1.Сканирование является самым простым программным методом поиска КВ.

Антивирусныепрограммы-сканеры могут гарантированно обнаружить только ужеизвестные KB, которые были предварительно изучены и для которых былаопределена сигнатура.

Программам-сканерамне обязательно хранить в себе сигнатуры всех известных КВ. Они могут,например, хранить только контрольные суммы сигнатур. Антивирусныепрограммы-сканеры, которые могут удалить обнаруженные KB, обычноназываются полифагами.

Для эффективногоиспользования антивирусных программ, реализующих метод сканирования,необходимо постоянно обновлять их, получая самые последние версии.

А.2. Методобнаружения изменений основан на использовании антивирусныхпрограмм-ревизоров, которые запоминают в специальных файлах образыглавной загрузочной записи, загрузочных секторов логических дисков,параметры всех контролируемых файлов, а также информацию о структурекаталогов и номера плохих кластеров диска. Могут быть проверены идругие характеристики компьютера: объем установленной оперативнойпамяти, количество подключенных к компьютеру дисков и их параметры.

Программы-ревизорыпотенциально могут обнаружить любые KB, даже те, которые ранее небыли известны. Однако следует учитывать, что не все изменения вызванывторжением КВ. Так, загрузочная запись может измениться приобновлении версии операционной системы, а некоторые программызаписывают изменяемые данные внутри своего выполнимого файла.Командные файлы изменяются еще чаще; так, например, файл AUTOEXEC.ВАТобычно изменяется во время установки нового программного обеспечения.

Программы-ревизорыне помогут и в том случае, когда пользователь записывает в компьютерновый файл, зараженный КВ. При этом, если KB заразит другиепрограммы, уже учтенные ревизором, он будет обнаружен.

Дополнительнойвозможностью программ-ревизоров является способность восстановитьизмененные (зараженные) файлы и загрузочные секторы на основаниизапомненной ранее информации.

Антивирусныепрограммы-ревизоры нельзя использовать для обнаружения KB в файлахдокументов, так как эти файлы постоянно изменяются. Поэтому дляконтроля за данными файлами следует использовать программы-сканерыили эвристический анализ.

А.3.Эвристический анализ позволяет обнаруживать ранее неизвестные KB,причем для этого не надо предварительно собирать данные о файловойсистеме, как требует метод обнаружения изменений.

К основнымнедостаткам эвристического метода относятся следующие:

• - принципиально не могут быть обнаружены все KB;

• - возможно появление некоторого количества ложных сигналов обобнаружении KB в программах, использующих вирусоподобные технологии(например, антивирусы).

А.4. Большинстворезидентных сторожей позволяет автоматически проверять всезапускаемые программы на заражение известными КВ. Такая проверкабудет занимать некоторое время, и процесс загрузки программызамедлится, но зато пользователь будет уверен, что известные KB несмогут активизироваться на его компьютере.

Резидентныесторожа имеют очень много недостатков, которые делают этот класспрограмм малопригодным для использования. Многие программы, даже несодержащие KB, могут выполнять действия, на которые реагируютрезидентные сторожа. Например, обычная команда LABEL изменяет данныев загрузочном секторе и вызывает срабатывание сторожа. Поэтому работапользователя будет постоянно прерываться раздражающими сообщениямиантивируса. Кроме того, пользователь должен будет каждый раз решать,вызвано ли это срабатывание компьютерным вирусом или нет. Какпоказывает практика, рано или поздно пользователь отключаетрезидентный сторож. И, наконец, еще один недостаток резидентныхсторожей заключается в том, что они должны быть постоянно загружены воперативную память и, следовательно, уменьшают объем памяти,доступной другим программам.

А.5. Основныминедостатками метода вакцинирования являются возможность обхода такойзащиты при использовании компьютерным вирусом так называемой"стелс-технологии", а также необходимость изменения кодапрограмм, из-за чего некоторые программы начинают работатьнекорректно или могут перестать работать.

А.6.Аппаратно-программные методы представляют собой один из самыхнадежных способов защиты ПС от заражения КВ. Благодаря тому, чтоконтроллер такой защиты подключен к системной шине компьютера, онполучает полный контроль над всеми обращениями к дисковой подсистемекомпьютера. Программное обеспечение аппаратной защиты позволяетуказать области файловой системы, которые нельзя изменять.Пользователь может защитить главную загрузочную запись, загрузочныесекторы, выполнимые файлы, файлы конфигурации и т.д. Еслиаппаратно-программный комплекс обнаружит, что какая-либо программапытается нарушить установленную защиту, он может не только сообщитьоб этом пользователю, но и заблокировать дальнейшую работукомпьютера.

Аппаратныйуровень контроля за дисковой подсистемой компьютера не позволяет KBзамаскировать себя. Как только KB проявит себя, он сразу будетобнаружен. При этом совершенно безразлично, как именно "работает"KB и какие средства он использует для доступа к дискам и дискетам.

Аппаратно-программныесредства защиты позволяют не только защитить компьютер от KB, нотакже вовремя пресечь выполнение программ, нацеленных на разрушениефайловой системы компьютера. Кроме того, аппаратно-программныесредства позволяют защитить компьютер от неквалифицированногопользователя, не давая ему удалить важную информацию,переформатировать диск, изменить файлы конфигурации.

Недостаткомаппаратно-программных методов является принципиальная возможностьпропустить KB, если они не пытаются изменять защищенные файлы исистемные области.

ИНФОРМАЦИОННЫЕ ДАННЫЕ

1. РАЗРАБОТАН ИВНЕСЕН 27 Центральным научно-исследовательским институтомМинистерства Российской Федерации (27 ЦНИИ МО РФ) иНаучно-консультационным центром
по созданию и применениюинформационных технологий (НКЦ "ЦНИИКА-СПИН")

2. ПРИНЯТ ИВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 14 июля
1998г. №295

3. ВВЕДЕНВПЕРВЫЕ

КЛЮЧЕВЫЕ СЛОВА:испытания программных средств, компьютерные вирусы, методы проведенияиспытаний программных средств, документация на испытания программныхсредств

Источник:Проскочил по файл-эхе BOOK Fido: 16.06.1999 14:11